Na mira da NIS2: a nova era da cibersegurança europeia

Em grande parte da Europa, organizações dos mais variados setores estão a esforçar-se por trabalhar em função de uma data-limite: 17 de outubro de 2024. Em vigor desde janeiro do ano anterior, a Diretiva NIS2 é o novo quadro regulamentar da União Europeia (UE) em matéria de cibersegurança e os países-membros estão em contagem decrescente para assegurar a sua transposição bem-sucedida.

	A necessidade de alterar o enquadramento legal existente prende-se com “a constatação do aumento do nível de ameaças e ataques concretizados em matéria de cibersegurança e do seu impacto nas organizações, a complexidade do contexto geopolítico e a perceção dos atuais e futuros riscos a enfrentar nesta sede” Margarida Leitão Nogueira, Sócia da DLA Piper em Portugal

Com um panorama de cibersegurança cada vez mais alarmante, a necessidade de alterar o enquadramento legal existente prende-se com “a constatação do aumento do nível de ameaças e ataques concretizados em matéria de cibersegurança e do seu impacto nas organizações, a complexidade do contexto geopolítico e a perceção dos atuais e futuros riscos a enfrentar nesta sede”, explica Margarida Leitão Nogueira, Sócia da DLA Piper em Portugal.

Dos novos requisitos a uma maior abrangência de setores, a conformidade com a NIS2 está no centro do debate europeu sobre as prioridades empresariais da atualidade. Em Portugal, acresce- -se o desafio da escassez de recursos económicos e humanos inerente a um tecido empresarial maioritariamente composto por pequenas e médias empresas (PME).

Uma diretiva abrangente e holística

Com a Diretiva NIS2, um leque significativamente mais alargado de setores e entidades passa a estar sob a alçada das normas regulatórias europeias de cibersegurança, em comparação com a sua antecessora NIS. Margarida Leitão Nogueira esclarece que se encontram “abrangidas entidades de diversos novos setores qualificadas como 'entidades essenciais' ou 'entidades importantes'”, uma classificação dependente da dimensão e do setor de atividade da organização.

Aos setores de atividade já abrangidos pela NIS – saúde, energia, transportes, banca e infraestruturas do mercado financeiro, fornecimento e distribuição de água, e infraestrutura digital e prestadores de serviços digitais – juntam-se agora dez novas indústrias: administração pública; águas residuais; espaço; gestão de serviços TIC (B2B); investigação; produção, transformação e distribuição de produtos alimentares; serviços postais e de estafeta; gestão de resíduos; indústria transformadora; e produção, fabrico e distribuição de produtos químicos.

A diretiva estabelece “um quadro sancionatório com coimas que ascendem a dez milhões de euros ou 2% do volume de negócios anual a nível mundial e uma maior exigência no que respeita às medidas de gestão dos riscos a implementar”, menciona a Sócia da DLA Piper. Salienta-se ainda a preocupação com a cadeia de abastecimento que impõe às entidades a adoção de “medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos, tendo em consideração, nomeadamente, aspetos de segurança respeitantes às relações com os respetivos fornecedores ou prestadores de serviços”.

Em Portugal, o Centro Nacional de Cibersegurança (CNCS) ganha um papel de destaque com as atribuições da Autoridade Nacional de Cibersegurança, “sendo competente, nomeadamente, para exercer as funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias, assim como da Equipa de Resposta a Incidentes de Segurança Informática Nacional”, afirma o organismo público.

Neste sentido, para assegurar a implementação eficaz da NIS2, o CNCS tem acompanhado “muito perto as discussões que têm lugar ao nível da União Europeia relativas a este tema, incluindo o NIS Cooperation Group, a Comissão Europeia e ENISA, e conta com a sua experiência e das suas congéneres na implementação e fiscalização da diretiva anterior”.

Com vista a modernizar o quadro jurídico atual, a Diretiva NIS2 compreende um conjunto de diretrizes que tem como objetivo acompanhar o aumento da digitalização e a evolução das ameaças à cibersegurança, procurando dotar as entidades públicas e privadas, bem como as autoridades competentes, de uma capacidade de resposta a incidentes redobrada.

“A falta de profissionais especializados em cibersegurança é um desafio global, e em Portugal, essa escassez é ainda mais acentuada, vai ser fundamental garantir e investir nestes recursos” Carlos Fernandes, Coordenador de Sistemas de Informação e CISO das Águas do Douro e Paiva do grupo Águas de Portugal

“A NIS2 enfatiza a prevenção e mitigação de riscos, indo além das medidas reativas”, realça Carlos Fernandes, Coordenador de Sistemas de Informação e CISO das Águas do Douro e Paiva do grupo Águas de Portugal, que destaca a necessidade premente de as empresas adotarem “uma abordagem proativa para identificar e gerir as ameaças cibernéticas”.

O engenheiro Fernando Costa Freire, Data Protection Officer da Fundação Champalimaud, aponta que, com a transposição nacional do documento legal, “os Administradores podem ser responsabilizados pelos riscos da empresa”, passando a ter a obrigação de garantir a compliance com o quadro regulatório e de implementar as devidas medidas. A par disto, “os prazos de comunicação de incidentes de cibersegurança são muito mais rigorosas em tempo de resposta e qualidade”.

Outros dos principais pontos de impacto da Diretiva NIS2 nas empresas incluem a realização de relatórios de incidentes, visto que “as organizações vão precisar de ter processos em vigor para detetar, reportar e responder a incidentes de cibersegurança em tempo útil”, refere Duarte Freitas, Cybersecurity Services, IBM Consulting.

Também a cooperação entre os países-membros, nomeadamente as suas respetivas empresas, autoridades reguladoras e outras partes interessadas, é uma particularidade relevante. “A diretiva NIS2 incentiva o aumento da cooperação entre os países da UE, incluindo a partilha de informações sobre ameaças e vulnerabilidades”, acrescenta Duarte Freitas.

O caminho para a conformidade

Com a contagem decrescente até à transposição em outubro de 2024, as organizações estão focadas em alinhar as suas estratégias de cibersegurança com os requisitos da nova diretiva, sendo fundamental realizar “o diagnóstico e avaliação do nível de maturidade da organização” sobre a matéria, de acordo com Margarida Leitão Nogueira, para posteriormente “criar e implementar um plano que permita uma gestão eficaz dos riscos existentes e identificar as medidas adequadas a implementar tendentes à respetiva minimização”.

Assegurar a conformidade com as medidas regulatórias, para a maioria das organizações, requer investimentos de diversas naturezas. De acordo com Luís Rato, Diretor Nacional de Segurança da Microsoft Portugal, as empresas devem “adotar uma abordagem holística e integrada do que é a cibersegurança, centrada em três pilares principais: Pessoas, Processos e Tecnologia”.

No que respeita aos recursos humanos, “potenciar a consciência do que significa a segurança entre os colaboradores é essencial” e, para tal, é necessário investir em “programas de formação contínuos que abordem os riscos atuais e potenciais e ensinem melhores práticas”. Para Luís Rato, a “capacitação dos colaboradores transforma-os numa autêntica linha de defesa ativa contra ataques ou ameaças, e é por aqui que temos de começar”.

Na ótica processual, o Diretor Nacional de Segurança da Microsoft Portugal destaca a implementação de “uma governança forte de cibersegurança com políticas claras e uma framework de gestão de riscos”, incluindo a realização regular de avaliações de risco, auditorias de segurança e monitorização contínua das ameaças.

Já o terceiro pilar, associado à tecnologia, “passará sempre pela utilização de soluções tecnológicas avançadas capazes de proteger os ativos da organização”, frisa Luís Rato, referindo os sistemas de deteção e resposta a ameaças em tempo real, a utilização de autenticação multifator e a criptografia de dados, “como por exemplo as ferramentas de segurança alimentadas por inteligência artificial”.

	“Os administradores podem ser responsabilizados pelos riscos da empresa”, passando a ter a obrigação de garantir a compliance com o quadro regulatório e de implementar as devidas medidas Fernando Costa Freire, Data Protection Officer da Fundação Champalimaud

Ainda mais, as organizações devem “caminhar progressivamente para as recomendações da norma IISO 27000”, considera o engenheiro Fernando Costa Freire, sublinhando que esta compreende “as normas e boas práticas que as empresas devem seguir para garantir a boa gestão da informação e os sistemas que a suportam”.

Carlos Fernandes salienta a importância do investimento em talentos. “A falta de profissionais especializados em cibersegurança é um desafio global, e em Portugal, essa escassez é ainda mais acentuada, vai ser fundamental garantir e investir nestes recursos”, defende. Além disto, à medida que a legislação evolui, a compliance contínua exige “esforços constantes e atualizações regulares das políticas e práticas de segurança”, consubstanciando- se como “um investimento 'invisível' [que] representa muito esforço e tempo, pois é fundamental preparar todas estas mudanças normativas e adaptar a organização proactivamente”.

Com a NIS2, o setor de gestão de serviços TIC (B2B) passa a ser abrangido pela regulação europeia de cibersegurança, sendo caracterizado como sendo de importância crítica. Duarte Freitas revela que, na IBM Consulting, “enquanto aguardamos os atos de implementação que concretizarão as obrigações NIS2, já estamos a tomar diversas medidas para nos prepararmos para estar em conformidade”, entre as quais destaca: a “monitorização da implementação a nível da UE e a nível nacional; identificação do país da sede principal; comunicação com clientes (workshops, compromissos bilaterais) e parceiros de negócio; revisão de processos e políticas internas para comunicação de incidentes e conformidade”.

Luís Rato, por sua vez, conta que a “estratégia da Microsoft para a diretiva NIS2 aborda toda a gama de riscos associados à tecnologia em cloud”, acrescentando que a conformidade com o novo quadro jurídico está alinhada com “os mesmos princípios de confiança zero abordados pelas soluções de segurança” da empresa. “Se a postura de segurança das organizações estiver alinhada com o zero-trust, estas estarão bem posicionadas para avaliar e ajudar a garantir a conformidade da sua organização com a NIS2”, frisa.

O universo alargado de setores abrangidos pela legislação inclui o de investigação e, por esta razão, a Fundação Champalimaud está a preparar-se para cumprir os requisitos impostos pela diretiva. “Estamos a executar atualização tecnológica e a rever os contratos de prestações de serviços de IT”, revela o engenheiro Fernando Costa Freire.

Como explica Carlos Fernandes, a NIS2 “aumenta o impacto nas organizações de sectores críticos como o do setor da água da qual faz parte a Águas do Douro e Paiva SA faz parte”. Uma vez que o setor da água já está ao abrigo da anterior versão da NIS e do Decreto-Lei n.º 65/2021, de 30 de julho, Carlos Fernandes acredita que “estamos assim mais bem preparados e próximos da conformidade”.

Neste sentido, a Águas do Douro e Paiva está a trabalhar para “maximizar a compliance com a NIS2, pelo trabalho que está a desenvolver para implementar um SGSI (Sistema de Gestão de Segurança da Informação) por intermédio do referencial da ISO 27001”, visando assim “conseguir esta certificação”, o que permitirá “implementar na totalidade os controlos e requisitos que a NIS2 exige”.

Os obstáculos na transposição

A preparação para o advento da NIS2 acarreta um conjunto de desafios com os quais as organizações estão a ser confrontadas, desde as limitações de recursos e expertise à resistência à mudança. Em Portugal, o custo da conformidade pode tornar-se um obstáculo particularmente significativo para as empresas nacionais, sobretudo para aquelas que não se encontravam abrangidas pela anterior diretiva NIS.

Neste contexto, as PME deverão “compreender muito bem os desafios que vão enfrentar para se adaptarem e cumprirem as exigências da Diretiva NIS2”, adverte Carlos Fernandes. Cumprir estas normas europeias envolve “alocar recursos significativos em termos de tempo, investimento financeiro e especialização e, além disso, o nosso mercado nacional muitas vezes apresenta limitações nesse sentido”.

A implementação da diretiva, refere Luís Rato, poderá significar um “esforço considerável para organizações que ainda estão em processo de transformação digital, mas a preparação não precisa de ser assoberbante para as organizações”.

Para o executivo da Microsoft Portugal, adotar soluções tecnológicas avançadas pode ser “particularmente desafiador para PME que não têm muitas vezes a infraestrutura tecnológica ou o conhecimento técnico para integrar novas soluções sem interromper as operações diárias”. Além disto, relembra que “o desconhecimento ou a impreparação conduz a uma maior exposição ao risco”.

Segundo Margarida Leitão Nogueira, é de salientar que a tendência regulatória europeia em matéria de cibersegurança – que vai para além da Diretiva NIS2 – “comporta um necessário, mas significativo aumento do nível de complexidade e exigência para as organizações”. Nesta medida, a legislação impõe, desde logo, “um primeiro grande desafio referente à alteração da forma como muitas organizações encaram e abordam a cibersegurança, sobretudo no que respeita envolvimento dos órgãos de direção”, defende.

A melhoria da cibersegurança pode resultar no “aumento da confiança do consumidor” e num “ambiente empresarial mais estável, o que pode contribuir para o crescimento económico” Duarte Freitas, Cybersecurity Services, IBM Consulting

Duarte Freitas considera que os principais desafios que as organizações enfrentam ao tentar cumprir a Diretiva NIS2 remetem para: a compreensão do âmbito e os seus requisitos, visto que “encontram habitualmente desafios na identificação se as mesmas estão sujeitas à diretiva e quais os seus requisitos específicos”; a falta de “recursos e da experiência necessária para implementar as medidas de cibersegurança necessárias”, sobretudo as PME; a criação de um “sistema de “reporting” e resposta a incidentes eficaz”; e a cooperação transfronteiriça, pois as “organizações podem enfrentar desafios quando confrontadas com a complexidade da partilha de informações”.

A oposição à mudança, diz Carlos Fernandes, é outro potencial entrave na fase de adaptação às diretrizes, uma vez que a “implementação de medidas de segurança cibernética muitas vezes enfrenta resistência interna”; porém, a NIS2 “aborda isso promovendo a conscientização e a formação, além de aplicar sanções mais rigorosas”, assegura.

Perspetivas futuras

A transposição da Diretiva NIS2 é um processo moroso e, com as eleições legislativas de março de 2024, Portugal tem estado numa corrida contra o tempo para assegurar que não há atrasos. O quadro jurídico europeu deverá ser aprovado pelo parlamento, passar por uma ratificação presidencial antes de se tornar lei e só depois ser implementada.

O CNCS esclarece que, em 2023, celebrou um contrato com o Instituto de Ciências Jurídico- Políticas da Faculdade de Direito da Universidade de Lisboa para a “realização de um relatório sobre potenciais impactos em Portugal da Diretiva (UE) 2022/2555” – relatório este que permitiu dar início ao “trabalho de transposição, ainda antes do final do ano passado, e elaborar uma primeira versão do articulado da proposta de transposição que, por virtude da convocação de eleições legislativas antecipadas, passou, naturalmente, para a pasta de transição”.

Ainda sobre a matéria, a autoridade de cibersegurança relembra que “os processos de transposição de diretivas na ordem jurídica nacional requerem o acompanhamento do gabinete ministerial competente, em razão da matéria com vista à apresentação das correspondentes iniciativas legislativas”.

	“Se a postura de segurança das organizações estiver alinhada com o zero-trust, estas estarão bem posicionadas para avaliar e ajudar a garantir a conformidade da sua organização com a NIS2” Luís Rato, Diretor Nacional de Segurança da Microsoft Portugal

Não obstante, espera-se que a Diretiva NIS2 tenha um impacto social e económico significativo em Portugal e na Europa. “Embora as exigências da diretiva impliquem potenciais investimentos iniciais, a longo prazo as medidas podem resultar numa economia mais forte, segura e resiliente”, frisa Luís Rato, referindo que o reforço da cibersegurança permite reduzir “os riscos de disrupções operacionais e financeiras causadas por ataques cibernéticos, o que pode gerar uma poupança substancial para as empresas e para a economia, especialmente na medida em que protege serviços críticos”.

Ainda mais, segundo Duarte Freitas, a melhoria da cibersegurança pode resultar no “aumento da confiança do consumidor” e num “ambiente empresarial mais estável, o que pode contribuir para o crescimento económico”, ainda que os custos de conformidade, especialmente para as PME, possam “afetar a sua competitividade e desempenho financeiro”.

A nível social, a NIS2 vai “promover ainda mais a sensibilização para a cibersegurança e vai exigir a formação contínua dos colaboradores”, salienta Carlos Fernandes, o que culminará num “impacto altamente positivo na cultura de segurança cibernética em toda a sociedade”. Além de incentivar a cooperação transfronteiriça e entre empresas nacionais, a “conformidade com a NIS2 visa proteger as infraestruturas críticas, serviços essenciais e dados pessoais, beneficiando diretamente os cidadãos e a sociedade em geral”, sublinha.